Die Verschlüsselungsroutine ist schwer zu finden. In der Virusdatei die ich habe, gibt es nichts was danach ausschaut. Ich vermute, dass der Virus die Verschlüsselungroutine noch irgendwann downloaded. Leider weiß ich noch nicht wie man das triggert. Ich gehe optimistisch davon aus, dass es so eine Routine gibt. Natürlich könnte auch lediglich Trash in die Dateien geschrieben worden sein Aber so sind die Vorgängerversionen dieses Virus nicht geschrieben.

Die Version (60.928 Bytes) bei der die Entschlüsselungsroutinen versagen, hängt sich per Codeinjection in "ctfmon.exe" bei 0x7FF94D59 ein. Dann werden erstmal regedit, Taskmanager etc. unzugänglich gemacht und eine Cab-datei mit 6 Bildschirmmaskenbilder runtergeladen. Dann noch eine Textdatei in der Bla-bla Drohungen und Forderungen für den Fall von mehreren Cashcode-Fehleingaben steht. Aber eben kein Code mehr. Danach macht der Virus den Desktop dicht und zeigt seine Forderung.

Und an diesem Punkt hänge ich momentan. Die Verschlüsselung der Dateien will bei mir einfach nicht starten. Es gibt kein weiteres download mehr. Es geschieht nichts weiteres.

Mein Rechner erfüllt anscheinend nicht die geforderten Systemvorrausetzungen für diesen Virus

Falls da mal einer reinschauen will.... ich wäre für jede Idee oder Hinweis sehr dankbar!

Viele Grüße
Marcus

Vermutlich erkennt die Schadsoftware einfach, dass du ihr einen Debugger angehangen hast und führt die Verschlüsselung dann nicht aus, um die Analyse zu erschweren. Was genau verwendest du für deine Analyse? OllyDbg?

Hi Zacherl,

die Verschlüsselungroutine startet auch nicht wenn ich keinen Debugger am beobachten habe ... und startet nicht wenn ich mehrmals neustarte, mehrmals falsche Paysafecard codes eingeb oder im abgesicherten Modus starte.

Nichts tut sich... jemand auf "trojaner-Board.de" meinte dass die Verschlüsselung nur an Donnerstagen ausgeführt wird. Klingt seltsam für mich, aber an diesem Strohhalm versuche ich mich gerade.

Also ich würde den Dateiinhalt einfach mit Müll überschreiben. Warum die Mühe machen eine Verschlüsselung zu implementieren? Das Geld habe ich ja.

Dieser virus hat vorgaengerversionen deren verschluesselungsmethode aufgedeckt wurden. Bei den vorgaengern wurde tatsaechlich verschluesselt nicht einfach zerstoert. Darum die hoffnung dass es auch diesmal so ist.

Das problem ist , dass die verschluesselung und der virus zunehmend komplexer werden. In der Zahlungsaufforderung ist jetzt von 256bit Aes die Rede. Wenn das kein Bluff ist dann sieht es finster aus.

Aus sicht des virenprogrammierers mit langfristigem plan fuer sein geschaeftsmodell macht es auch sinn nicht zu zerstoeren. Wuerde es sich herumsprechen, dann wuerde sicher gar niemand mehr bezahlen.

Hast du den Virus schon mal in einer Sandbox (sandboxie.com) laufen lassen?
Der Vorteil ist, dass du nachträglich jede veränderte Datei und jede Änderung in der Registry sehen kannst.
Klappt natürlich nur wenn der Virus nicht bemerkt, dass er in einer Sandbox läuft und keine Gegenmaßnahmen unternimmt.

Kommt drauf an, wie der Schlüssel erzeugt wird.

Ich bin auch der Meinung, dass es einen Schlüssel gibt. Es ist nur Business. Man kann einem so einen Virus 100 mal auf den Hals schicken und 100 mal kassieren. Wenn man aber den Kunden beim ersten mal vergrault, kann man nur ein mal kassieren.

Hier meine bisherigen Erkenntnisse zum Trojaner:


Sorry an die Nicht-Computerleute wenn es etwas technisch wird.

Einfallstor war Rechnung2012[1].zip.vir md5=a385a8b3c3445a52400be54a1bb54e6e
Inhalt des Zip: Rechnung2012.pif 65536 Bytes md5=be4dd0c9fe78b6a3c3bf4f2750d52d6e
Weitere gemeldete datei gleichen Inhalts: nqqfoifwyj.pre.vir md5=be4dd0c9fe78b6a3c3bf4f2750d52d6e

Trojaner beseitigt mit Desinfec't 2011 mit allen Updates vom 18.5. + Systemwiederherstellung
Erkennung durch:
Avira: TR/Crypt.Gypikon.D.1 (nicht bei jedem Lauf erkannt!!)
Kaspersky: Trojan-Ransom.Win32.Gimemo.slv
ClamAV: W32.Trojan.Ransom-253
BitDefender: Trojan.Generic.KDV.625143
Windows Defender Offline: Trojan:Win32/Matsnu (Signaturen vom 19.5.12)

Avast meldet "Keine Bedrohung gefunden" (Signaturen vers 120515-1)

Wiederherstellen der zerstörten Dateien bisher erfolglos.

Beobachtungen:
Befall vermutlich nicht per Mail, sondern durch Besuch einer Webseite.
Der Trojaner ist höchstwahrscheinlich am Mi 16.5.2012 morgens um 7 Uhr auf den Win7-PC gekommen.
Darauf deutet das Zipfile in den Temporary Internet Files hin.
Zeit der Verschlüsselung vermutlich Mi 16.5.2012 am Vormittag.
Spricht gegen die Nur-Donnerstag-Theorie im delphipraxis.net-Forum (*).
Beschreibung der Benutzerin: Unbekannte Mails erhalten, aber nie geöffnet.
Seit ca. 9. Mai gelegentlich Excel-Files mit unsinnigem Inhalt, Rechner langsam, ein Mal Aufforderung, Excel upzudaten.
Zeitstempel der Verschlüsselten Directories: 16. Mai ca 8 Uhr.
16. Mai ca. 11 Uhr: Entdeckung, dass alle Dateien verschlüsselt sind, und Zahlungsaufforderung und Eingabe einer Fantasienummer.
Betriebssystem ist Win7 Home Premium mit Patches bis 8.9.2011, kein SP1

Dateinamen werden zu z.B. gursjjxrLNvfJTolaATNf
Datum und Länge der Originaldatei bleiben erhalten, nachgewiesen durch vereinzelte Backups von Benutzerdateien.
Mit Hexdump keine offensichtliche Trivialcodierung zu erkennen, ausser dass nach Hex3000 (12288) nicht mehr verschlüsselt wird.

Verschlüsselt D:/RECOVER, D:/ und vor Allem C:/Users incl. Subdirs
Einige Dateiendungen werden wohl ausgenommen, z.B. *.txt
Seltsam, bei einer absichtlichen Infizierung mit dem Trojaner wurde c:\Windosw\system32\taskmgr.exe gelöscht! Nicht reproduzierbar.
MP3s sind durch Umbennennen zu retten, denn die ersten 12 KB sind (fast) unbedeutend.
Office-Files sind eventuelle zu retten mit http://support.microsoft.com/kb/826864/de/

Testweise Wiederverseuchung, als Versuch, die Verschlüsselung an bekannten Files zu beobachten:
Befall reproduzierbar: Zahlungsaufforderung (wie im http://www.heise.de/security/meldung...n-1573945.html)
und bei falscher Nummerneingabe schwarzer Bildschirm mit der Meldung "Vielen Dank für die Zahlung ... Entschlüsselung ... mehrere Stunden ..."
Verschlüsselung nicht reproduzierbar. Es wurden keine weiteren Files verschlüsselt.
Randbedingung: keine Internetverbindung (zu riskant da mein Samba-Server verseucht werden könnte und mein Schtott-Firewallrouter keine DMZ hinbekommt).
Strg-Alt-Entf / Taskmanager / Datei / Neuer Task / explorer.exe:
Taskleiste kommt wieder, aber jedes geöffnete Fenster außer Taskmanager wird schwarz überdeckt. Systemwiederherstellung beseitigt das Problem.
Wiederverseuchung gelingt nur, wenn Rechnung2012.pif als exe umbenannt in einem schreibbaren Verzeichnis gestartet wird. Rechnung2012.pif löscht sich dabei selbst.

Fazit: Virenschutzprogramme bieten wohl keinen Schutz, einige erkennen die Bedrohung nicht einmal hinterher.
Einzige Rettung (außer Backup) wäre gewesen, beim Absturz nach öffnen des ZIPs oder sonstigem Ungewöhnlichn Verhalten der Rechnung den PC nicht mehr hochzufahren, sondern sofort Fachleute hinzuzuziehen. Aber wer macht das schon?


Meine Idee zum weiteren Vorgehen - leider fehlen mir die Mittel dazu: (Liest das hier jemand vom CCC oder von den Antiviren-Herstellern?)
1. Statisches reverse engineering des Trojaners,
2. Virus auf sauberes Testsystem loslassen und Netz-Aktivität beobachten, ob Code oder Keys nachgeladen werden.
Verschlüsselung live beobachten. Mit Debugger oder falls der Trojaner das merkt per Hardware. Ich habe schon live Leute gesehen die einen Logic-Analyzer an den Rechner gehängt haben und so einen Dongle-Code geknackt haben, so etwas geht wenn die Debugger und Hardwaretools zur Verfügung stehen - habe ich aber leider nicht.
Der Trojaner schafft die Verschlüsselung, also läuft die lokal am Rechner ab und muss zu beobachten sein.
3. Wenn es nicht bösartigerweise nur Zufallszahlen sind, woher kommt der seed der Codierung? Laut (*) werden gleichartige Dateien jedesmal anders verschlüsselt. Es ist unwahrscheinlich dass für jede Datei
ein eigener Schlüssel aus dem Netz geholt wird. Ich würde den seed lokal erzeugen, z.B. als hash aus Dateiname, Datum o.Ä.
4. Damit kann auch der Verdacht erhärtet / widerlegt werden, dass der Trojaner Zufallsdaten schreibt und gar nicht codiert.

Restaurieren gelöschter Dateien mit foremost unter Linux hat auch nicht viel gebracht. Die Hoffnung, dass die gelöschten Originaldateien vor Befall des Trojaners noch auffindbar sind hat nicht erfüllt.
Es gibt leider kaum Backups und keine Widerherstellungspunkte für die Benutzerdaten. Nicht schimpfen, ist nicht mein PC.


Google.de + metager.de mit der MD5 ergibt nur 2 nichtssagende Treffer.
Links zum Thema:
(*) hxx://www.delphipraxis.net/168380-verschluesselungs-trojaner-hilfe-benoetigt.html
hxxp://www.trojaner-board.de/115183-neue-verschluesselungs-trojaner-variante-umlauf-9.html
Windows Defender offline zeigt einen Link, der auch nichts neues bringt: hxxp://go.microsoft.com/fwlink/?linkid=142185&name=Trojan:Win32/Matsnu&threadid=2147652753




Nur der Vollständigkeit halber: weitere malware auf dem PC, die vielleicht ein Einfallstor war (eher unwahrscheinlich):
TR/Winlock.FB
Trojan-Downloader.Java.Agent.gr (aka Java.Trojan.Exploit.Bytverify.N)
EXP/JAVA.Niabil.Gen
PUA.Packed.Armadillo-1
PUA.Crypt.ScriptCryptor
PUA.Packed.PECompact-1
PUA.JS.Obfus-7
dazu noch einige Alarme bei PDFs


Vielleicht hilft es ja bei Gegenmaßnahmen.

mfg
Werner